RSA NetWitness EDR
Versión de integración: 4.0
Casos prácticos
- Realizar acciones de enriquecimiento: obtener datos de RSA NetWitness para enriquecer los datos de las alertas de Google Security Operations.
- Realizar acciones de corrección: añadir IPs o URLs a listas negras.
Configurar la integración de RSA NetWitness EDR en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Raíz de la API | Cadena | https:// |
Sí | Raíz de la API de la instancia de RSA NetWitness EDR. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de RSA NetWitness EDR. |
| Contraseña | Contraseña | N/A | Sí | La contraseña de la cuenta de RSA NetWitness EDR. |
| Verificar SSL | Casilla | Marcada | No | Si está habilitada, verifica que el certificado SSL de la conexión al servidor RSA NetWitness EDR sea válido. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con RSA NetWitness EDR con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se completa correctamente: Imprime "Successfully connected to the RSA NetWitness EDR server with the provided connection parameters!" (Te has conectado correctamente al servidor RSA NetWitness EDR con los parámetros de conexión proporcionados). La acción debería fallar y detener la ejecución de una guía: Si no se resuelve correctamente: Imprime "No se ha podido conectar con el servidor RSA NetWitness EDR. Error: {0}".format(exception.stacktrace) |
General |
Endpoint de enriquecimiento
Descripción
Obtiene la información del sistema del endpoint de obtención por su nombre de host o dirección IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Umbral de puntuación de IIOC | Entero | 50 | No | Especifica el umbral de puntuación de IIOC del endpoint. Si el endpoint supera el umbral, la entidad relacionada se marcará como sospechosa. Si no se especifica nada, la acción no comprobará la puntuación de IIOC. |
| Incluir información de IOC | Casilla | Desmarcada | No | Si se habilita, la acción obtendrá información sobre los IOCs asociados al endpoint. |
| Número máximo de IOCs que se devolverán | Entero | 50 | No | Especifica cuántos IOCs quieres que se devuelvan. El máximo es 50. Esta es una limitación de RSA NetWitness EDR. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| RSA_EDR_DriverErrorCode | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ServicePackOS | Devuelve si existe en el resultado JSON. |
| RSA_EDR_MachineStatus | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Type | Devuelve si existe en el resultado JSON. |
| RSA_EDR_VersionInfo | Devuelve si existe en el resultado JSON. |
| RSA_EDR_UserName | Devuelve si existe en el resultado JSON. |
| RSA_EDR_OrganizationUnit | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LocalIP | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NetworkSegment | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Gateway | Devuelve si existe en el resultado JSON. |
| RSA_EDR_RemoteIP | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Group | Devuelve si existe en el resultado JSON. |
| RSA_EDR_AdminStatus | Devuelve si existe en el resultado JSON. |
| RSA_EDR_KernelDebuggerDetected | Devuelve si existe en el resultado JSON. |
| RSA_EDR_EarlyStart | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NotifyShutdownModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LoadedModuleModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NotifyRoutineModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_UnloadedDriverModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ErrorLogModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LowLevelReaderModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WorkerThreadModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WindowsHooksModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_DebuggerAttachedToProcess | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ThreadMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ObjectMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ImageMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_DriverMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TdiMonitorModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingModule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingRegistryMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingObjectMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingFileMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingRemoteThreadMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingCreateProcessMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingHardLinkMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingFileBlockMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TrackingNetworkMonitor | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ECATServerName | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Online | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IIOCScore | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ChassisType | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ContainmentSupported | Devuelve si existe en el resultado JSON. |
| RSA_EDR_AgentID | Devuelve si existe en el resultado JSON. |
| RSA_EDR_BIOS | Devuelve si existe en el resultado JSON. |
| RSA_EDR_OSBuildNumber | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Comment | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ConnectionTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Language | Devuelve si existe en el resultado JSON. |
| RSA_EDR_DNS | Devuelve si existe en el resultado JSON. |
| RSA_EDR_DomainRole | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ECATServiceCompileTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ECATPackageTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_StartTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ECATDriverCompileTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_DomainName | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Idle | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IncludedinMonitoring | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IncludedinScanSchedule | Devuelve si existe en el resultado JSON. |
| RSA_EDR_InstallationFailed | Devuelve si existe en el resultado JSON. |
| RSA_EDR_InstallTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IIOCLevel0 | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IIOCLevel1 | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IIOCLevel2 | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IIOCLevel3 | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Country | Devuelve si existe en el resultado JSON. |
| RSA_EDR_BootTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LastScan | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LastSeen | Devuelve si existe en el resultado JSON. |
| RSA_EDR_MAC | Devuelve si existe en el resultado JSON. |
| RSA_EDR_MachineID | Devuelve si existe en el resultado JSON. |
| RSA_EDR_MachineName | Devuelve si existe en el resultado JSON. |
| RSA_EDR_AllowAccessDataSourceDomain | Devuelve si existe en el resultado JSON. |
| RSA_EDR_AllowDisplayMixedContent | Devuelve si existe en el resultado JSON. |
| RSA_EDR_AntiVirusDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_BadCertificateWarningDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_CookiesCleanupDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_CrosssiteScriptFilterDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_FirewallDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IEDepDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IEEnhancedSecurityDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IntranetZoneNotificationDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LUADisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NoAntivirusNotificationDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NoFirewallNotificationDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NoUACNotificationDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NoWindowsUpdateDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_RegistryToolsDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_SmartscreenFilterDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_SystemRestoreDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TaskManagerDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_UACDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WarningOnZoneCrossingDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WarningPostRedirectionDisabled | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Manufacturer | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Model | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NetworkAdapterPromiscModel | Devuelve si existe en el resultado JSON. |
| RSA_EDR_OperatingSystem | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessorArchitecture | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessorCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Platform | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessorIs32bits | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Processoris64 | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ProcessorName | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Scanning | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ScanStartTime | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Serial | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TimeZone | Devuelve si existe en el resultado JSON. |
| RSA_EDR_TotalPhysicalMemory | Devuelve si existe en el resultado JSON. |
| RSA_EDR_HTTPSFallbackMode | Devuelve si existe en el resultado JSON. |
| RSA_EDR_BlockingActive | Devuelve si existe en el resultado JSON. |
| RSA_EDR_RoamingAgentsRelaySystemActive | Devuelve si existe en el resultado JSON. |
| RSA_EDR_UserID | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WindowsDirectory | Devuelve si existe en el resultado JSON. |
| RSA_EDR_NetWitnessInvestigate | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ContainmentStatus | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"Machine": {
"DriverErrorCode": "0xe0010014",
"ServicePackOS": "0",
"MachineStatus": "Offline-DriverError",
"Type": "Windows",
"VersionInfo": "4.4.0.0",
"UserName": "",
"OrganizationUnit": "",
"LocalIP": "172.30.203.155",
"NetworkSegment": "172.30.203.0",
"Gateway": "172.30.203.1",
"RemoteIP": "172.30.203.155",
"Group": "Default",
"AdminStatus": "",
"KernelDebuggerDetected": "False",
"EarlyStart": "False",
"NotifyShutdownModule": "False",
"LoadedModuleModule": "False",
"NotifyRoutineModule": "False",
"UnloadedDriverModule": "False",
"ErrorLogModule": "False",
"LowLevelReaderModule": "False",
"ProcessModule": "False",
"WorkerThreadModule": "False",
"WindowsHooksModule": "False",
"DebuggerAttachedToProcess": "False",
"ProcessMonitorModule": "False",
"ThreadMonitorModule": "False",
"ObjectMonitorModule": "False",
"ImageMonitorModule": "False",
"DriverMonitorModule": "False",
"TdiMonitorModule": "False",
"TrackingModule": "False",
"TrackingRegistryMonitor": "False",
"TrackingObjectMonitor": "False",
"TrackingFileMonitor": "False",
"TrackingRemoteThreadMonitor": "False",
"TrackingCreateProcessMonitor": "False",
"TrackingHardLinkMonitor": "False",
"TrackingFileBlockMonitor": "False",
"TrackingNetworkMonitor": "False",
"ECATServerName": "RSA-EDR",
"Online": "False",
"IIOCScore": "39",
"ChassisType": "Other",
"ContainmentSupported": "False",
"AgentID": "d96de745-c39b-b513-420d-598952bd463e",
"BIOS": "Phoenix Technologies LTD - 6.00 - PhoenixBIOS 4.0 Release 6.0",
"OSBuildNumber": "18363",
"Comment": "",
"ConnectionTime": "7/31/2020 9:01:11 AM",
"Language": "en-US",
"DNS": "172.30.202.237",
"DomainRole": "Member Workstation",
"ECATServiceCompileTime": "9/15/2017 10:26:23 PM",
"ECATPackageTime": "6/26/2020 6:39:59 AM",
"StartTime": "6/29/2020 11:56:36 AM",
"ECATDriverCompileTime": "9/15/2017 10:20:48 PM",
"DomainName": "ecat.local",
"Idle": "False",
"IncludedinMonitoring": "True",
"IncludedinScanSchedule": "True",
"InstallationFailed": "False",
"InstallTime": "6/26/2020 6:42:20 AM",
"IIOCLevel0": "0",
"IIOCLevel1": "0",
"IIOCLevel2": "4",
"IIOCLevel3": "9",
"Country": "USA",
"BootTime": "6/29/2020 11:56:31 AM",
"LastScan": "6/26/2020 6:47:54 AM",
"LastSeen": "7/31/2020 9:31:12 AM",
"MAC": "00:50:56:A2:10:9E",
"MachineID": "422518b6-54d8-4814-b5d7-02b043ca0103",
"MachineName": "RSA-HOST02",
"AllowAccessDataSourceDomain": "False",
"AllowDisplayMixedContent": "False",
"AntiVirusDisabled": "False",
"BadCertificateWarningDisabled": "False",
"CookiesCleanupDisabled": "False",
"CrosssiteScriptFilterDisabled": "False",
"FirewallDisabled": "False",
"IEDepDisabled": "False",
"IEEnhancedSecurityDisabled": "False",
"IntranetZoneNotificationDisabled": "False",
"LUADisabled": "False",
"NoAntivirusNotificationDisabled": "False",
"NoFirewallNotificationDisabled": "False",
"NoUACNotificationDisabled": "False",
"NoWindowsUpdateDisabled": "False",
"RegistryToolsDisabled": "False",
"SmartscreenFilterDisabled": "False",
"SystemRestoreDisabled": "False",
"TaskManagerDisabled": "False",
"UACDisabled": "False",
"WarningOnZoneCrossingDisabled": "False",
"WarningPostRedirectionDisabled": "False",
"Manufacturer": "VMware, Inc.",
"Model": "VMware Virtual Platform",
"NetworkAdapterPromiscMode": "False",
"OperatingSystem": "Microsoft Windows 10 Enterprise Evaluation",
"ProcessorArchitecture": "x64",
"ProcessorCount": "2",
"Platform": "64-bit (x64)",
"ProcessorIs32bits": "False",
"Processoris64": "True",
"ProcessorName": "Intel(R) Xeon(R) CPU E5-2698 v3 @ 2.30GHz",
"Scanning": "False",
"ScanStartTime": "7/31/2020 9:07:58 AM",
"Serial": "VMware-42 22 a8 f8 6a 01 41 ca-12 10 80 75 56 bf 21 4b",
"TimeZone": "Pacific Standard Time",
"TotalPhysicalMemory": "4294430720",
"HTTPSFallbackMode": "False",
"BlockingActive": "True",
"RoamingAgentsRelaySystemActive": "True",
"UserID": "00000000-0000-0000-0000-000000000000",
"WindowsDirectory": "C:\\Windows",
"NetWitnessInvestigate": "True",
"ContainmentStatus": "Not Contained"
},
"Iocs": [
{
"Alertable": "False",
"EvaluationDate": "6/26/2020 6:48:11 AM",
"IOCContext": "0",
"IOCTriggeredOnMachine": "True",
"BiasStatus": "Undefined",
"Active": "True",
"Description": "Likely packed",
"Type": "Module",
"IOCLevel": "2",
"LastExecuted": "7/31/2020 9:08:11 AM",
"Name": "Likely Packed.sql",
"Priority": "0",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [mp].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[mo].[ModulePacked] = 0 AND\r\n\t(\r\n\t\t[mo].[ModuleCodeSectionWritable] = 1 OR\r\n\t\t[mo].[ModuleDuplicateSectionName] = 1 OR\r\n\t\t[mo].[ModuleEmptySectionName] = 1\r\n\t) AND\r\n\t[mo].[Entropy] >= 6.8 AND\r\n\t[mp].[MarkedAsDeleted] = 0\r\n\r\n",
"MachineCount": "1",
"ModuleCount": "2"
}
]
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se ha completado correctamente y se ha enriquecido al menos una de las entidades proporcionadas (is_success = true): Imprime "Successfully enriched the following endpoints from RSA NetWitness EDR: \n {0}".format(entity.identifier list) Si no se pueden enriquecer entidades específicas(is_success = true): Imprime "Action was not able to enrich the following endpoints from RSA NetWitness EDR \n: {0}".format([entity.identifier]) Si no se puede enriquecer ninguna entidad (is_success = false): Imprime: "No se ha enriquecido ninguna entidad". La acción debería fallar y detener la ejecución de una guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Enrich Endpoint". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Si "Include IOCs Information" == True Nombre de la tabla: "{0} - IOCs".format(entity.identifier) Columna de tabla:
|
General |
Obtener detalles de IOC
Descripción
Enriquece las entidades de Google SecOps con información sobre indicadores de compromiso de RSA NetWitness EDR.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | ¿Es Mandatory? | Descripción |
|---|---|---|---|---|
| Umbral de nivel de IOC | DDL | Medio Valores posibles: Crítica Alta Medio Bajo |
Sí | Especifica el umbral de nivel de IOC de la entidad. Si la entidad supera el umbral, la entidad relacionada se marcará como sospechosa. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| RSA_EDR_Active | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Alertable | Devuelve si existe en el resultado JSON. |
| RSA_EDR_BlacklistedCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_GraylistedCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Description | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ErrorMessage | Devuelve si existe en el resultado JSON. |
| RSA_EDR_EvaluationMachineCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Type | Devuelve si existe en el resultado JSON. |
| RSA_EDR_IOCLevel | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LastEvaluationDuration | Devuelve si existe en el resultado JSON. |
| RSA_EDR_LastExecuted | Devuelve si existe en el resultado JSON. |
| RSA_EDR_MachineCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_ModuleCount | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Name | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Persistent | Devuelve si existe en el resultado JSON. |
| RSA_EDR_Priority | Devuelve si existe en el resultado JSON. |
| RSA_EDR_UserDefined | Devuelve si existe en el resultado JSON. |
| RSA_EDR_WhitelistedCount | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"iocQuery": {
"Active": "True",
"Alertable": "False",
"BlacklistedCount": "0",
"GraylistedCount": "0",
"Description": "Autorun unsigned BHO",
"ErrorMessage": "",
"EvaluationMachineCount": "1",
"Type": "Windows",
"IOCLevel": "2",
"LastEvaluationDuration": "0",
"LastExecutionDuration": "0",
"LastExecuted": "7/31/2020 9:08:12 AM",
"MachineCount": "0",
"ModuleCount": "0",
"Name": "Autorun_Unsigned_BHO.sql",
"Persistent": "True",
"Priority": "5",
"Query": "\r\n\r\nSELECT DISTINCT\r\n\t[mp].[FK_Machines] AS [FK_Machines],\r\n\t[mp].[PK_MachineModulePaths] AS [FK_MachineModulePaths] \r\nFROM\r\n\t[dbo].[mocAutoruns] AS [ar] WITH(NOLOCK)\r\n\tINNER JOIN [dbo].[MachinesToEvaluate] AS [me] WITH(NOLOCK) ON ([me].[RK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Paths] AS [pa] WITH(NOLOCK) ON ([pa].[PK_Paths] = [ar].[FK_Paths__RegistryPath])\r\n\tINNER JOIN [dbo].[MachineModulePaths] AS [mp] WITH(NOLOCK) ON ([mp].[PK_MachineModulePaths] = [ar].[FK_MachineModulePaths] AND [mp].[FK_Machines] = [ar].[FK_Machines])\r\n\tINNER JOIN [dbo].[Modules] AS [mo] WITH(NOLOCK) ON ([mo].[PK_Modules] = [mp].[FK_Modules])\r\nWHERE \r\n\t[ar].[Type] = 5 AND\r\n\t[pa].[Path] LIKE N'%\\SOFTWARE%Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\%' AND\r\n\t[mo].[ModuleSignaturePresent] = 0 AND\r\n\t[ar].[MarkedAsDeleted] = 0\r\n\r\n",
"UserDefined": "False",
"WhitelistedCount": "0"
}
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se pueden enriquecer entidades específicas(is_success = true): Si no se puede enriquecer ninguna entidad (is_success = false): La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) |
General |
Añadir IP a lista negra
Descripción
Añadir una IP a la lista negra en RSA NetWitness EDR.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"Ips": [
"10.0.0.2"
],
"ResponseStatus": {
"ErrorCode": "200",
"Message": "Some of the IPs could not be processed. The HTTP response body contains all successfully processed IPs"
}
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si no se pueden enriquecer entidades específicas(is_success = true): Si no se puede enriquecer ninguna entidad (is_success = false): La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Añadir IP a lista negra". Motivo: {0}''.format(error.Stacktrace) |
General |
Añadir URL a la lista negra
Descripción
Añadir una URL a la lista negra en RSA NetWitness EDR.
Fecha de ejecución
Esta acción se ejecuta en la entidad URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"Domains": [
"фів"
]
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias: Si no se pueden enriquecer entidades específicas (is_success = true): Si no se puede enriquecer ninguna entidad (is_success = false): La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Añadir URL a lista negra". Motivo: {0}''.format(error.Stacktrace) |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.